P2P Zeus Executa Atualização Crítica

por Kan Chen

Contribuição Técnica Especial de He Xu, Senior Antivirus Analyst

P2P Zeus, também conhecido como Zbot, evoluiu para um bot poderoso desde sua descoberta em 2007. Ele é capaz de roubar informações bancárias por hosts infectados,  instalar outro malware e outros comportamentos relacionados ao cibercrime. Atualmente, P2P Zeus suporta tanto os protocolos UDP e TCP para as suas diversas tarefas de comunicação, incluindo troca lista de pares, comando e controle (C & C), registro de servidor e atualizações binárias de malware.

No início de abril de 2014, o sistema de monitoramento botnet Fortinet descobriu que P2P Zeus colocou uma atualização crítica à botnet P2P.

Atualização crítica

Desde a nossa análise anterior do tráfego do bot em setembro de 2013, temos observado que o número da versão encontrada nos pacotes de atualização criptografados é 0x38.

Figura 1: Pacote de atualização descriptografado capturado em setembro de 2013.

 

Em 8 de abril, o nosso sistema de monitoramento constatou que o número da versão incluída no pacote TCP criptografado tenha sido atualizado para 0x3B.

Figura 2: Pacote de atualização descriptografado capturado em abril de 2014.

 

Cada binário P2P Zeus extrai o número da versão do pacote de atualização e compara o número da versão que está codificado em seu corpo. Como mostrado na Figura 3, o bot compara o número da versão, duas vezes, para determinar se o processo de atualização deve ser realizado.

Figura 3: Versão comparação de número no binário Zeus.

 

O pacote de atualização contém o binário real Zeus. Uma vez que o bot determinou que ele precisa ser atualizado, ele prossegue com a decodificação do resto do pacote.

O que há de novo nesta versão

Há uma pequena alteração para esta nova versão do P2P Zeus. Além de suas funções originais de roubar informações bancárias, a injeção de processo e assim por diante, o novo binário também deixaria entrar um arquivo de rootkit na pasta %System32 % \ drivers. O rootkit basicamente esconde o P2P Zeus e impede a supressão do seu binário e suas entradas de registro de execução automática.

Figura 4: Dropped driver de rootkit.

 

Conclusão

Neste post, temos visto como P2P Zeus atualiza-se facilmente através de sua rede P2P. No entanto, observou-se que há uma interrupção no número de versão (de 0x38 a 0x3B). Isso pode eventualmente ser devida às versões intermediárias, sendo apenas versões de teste. Essas versões de teste, ocasionalmente aparecem na rede P2P, mas elas não estão sendo pressionados como uma atualização para todos os pares.

Vimos também que esta nova versão deixa um driver rootkit malicioso que impede a remoção de arquivos maliciosos e entradas de registro. Isto aumenta a dificuldade de remoção de Zeus dos sistemas infectados.

No futuro, P2P Zeus pode usar o mesmo método para empurrar uma nova atualização com funções extras. Quando isso acontece, nosso sistema de monitoramento botnet vai continuar a monitorar suas atividades e oferecer a proteção necessária contra novas variantes, assim que sair.

Fonte: http://blog.fortinet.com

 

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

 

Anúncios

Deixe seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s